تشخیص اشتباه ضدباج‌گیر آنتی‌ویروس کسپراسکی HEUR:Trojan.Multi.Crypren.gen

مساله

1. شما یک سرور دارید که آنتی‌ویروس کسپراسکی روی آن نصب است و تعدادی پوشه نیز Share کرده‌اید.
2. روی یک سیستم دیگر در شبکه آنتی‌ویروس پادویش یا ضدباج‌گیر پادویش نصب کرده‌اید.
3. در هنگام دسترسی و ویرایش فایل‌های موجود در فولدر اشتراکی سرور، ارتباط قطع شده و لاگ زیر در آنتی‌ویروس کسپراسکی درج می‌شود:

File Threat Protection - HEUR:Trojan.Multi.Crypren.gen - <Path to shared file>.CryptoBackup

این اتفاق در نسخه‌هایی از کسپراسکی که دارای ماژول AntiCryptor می‌باشند (به عنوان مثال نسخه Kaspersky Security for Windows Server اتفاق می‌افتد.

راهکار سریع

نسخه ضدباج‌گیر پادویش خود را ارتقا دهید.

با وجود اینکه علت این مساله یک ایراد در روش تشخیص مبتنی بر نام فایل در کسپراسکی می‌باشد، اما در محصولات زیر، نام فایل بکاپ تغییر کرده است تا این ایراد کسپراسکی پوشش داده شده و دیگر هشدار اشتباه صادر نشود:

• ضدباج‌گیر پادویش در نسخه‌های 1.5.169.1137 و بالاتر
• ضدویروس پادویش در نسخه‌های 2.9.134.8001 و بالاتر

علت مساله

علت مساله اشتباه در ماژول تشخیص باج‌افزار آنتی‌ویروس کسپراسکی می‌باشد. به طور کلی ماژول AntiCryptor کسپراسکی که وظیفه این تشخیص را برعهده دارد، در صورت مشاهده رفتار زیر آن را به عنوان HEUR:Trojan.Multi.Crypren.gen تشخیص می‌دهد:

• ساخته شدن فایل جدید در فولدر اشتراکی که با فایل قبلی هم‌نام بوده و پسوند متفاوتی داشته باشد.

این تشخیص هیچ ارتباطی به محتوای فایل یا عملیات رمزنگاری نداشته و صرفا به «نام فایل» وابسته است و به سادگی با چندبار کپی یک فایل در فولدر اشتراکی با پسوندهای مختلف قابل ایجاد می‌باشد.

به عنوان مثال اسکریپت ساده زیر موجب هشدار کسپراسکی و بسته شدن فولدر Share می‌شود:

Copy SomeFile.png \\192.168.1.1\share\SomeFile.png
Copy SomeFile.png \\192.168.1.1\share\SomeFile.png.test

این اسکریپت صرفا یک فایل png سالم را در یک پوشه اشتراکی کپی می‌کند، اما از آنجاکه در کپی دوم، نام فایل دارای یک پسوند اضافه‌تر (در اینجا test) می‌باشد توسط کسپراسکی به عنوان باج‌افزار شناسایی می‌شود. (استفاده از کلمه test به عنوان مثال بوده و هر پسوند دیگری همین رفتار را دارد) حتی کپی دستی دو فایل با چنین نام‌هایی فارغ از محتوای آنها منجر به این تشخیص اشتباه می‌شود.

جالب اینجاست که این مکانیزم تشخیص با نرم‌افزارهای معروفی مانند SolidWorks و SPSS Statistics، انواع کلاینت‌های ایمیل و … نیز تداخل داشته و منجر به تشخیص اشتباه می‌شود. راه حل کسپراسکی برای رفع این تداخل‌ها، قرار دادن یک لیست  استثنائات ثابت در محصولاتش است که پسوندهای مورد استفاده در این نرم‌افزارها  (مانند stt, sldprt, sig و حتی پسوند exe) را تراست نموده و در خصوص آنها هشداری صادر نمی‌کند.

از آنجا که لایه محافظت اطلاعات در ضدباج‌گیر پادویش در شرایط خاصی از فایل اصلی یک بکاپ موقت با پسوند CryptoBackup تهیه می‌کند، این اشکال کسپراسکی در خصوص این فایل نیز رخ می‌دهد. نسخه جدید پادویش با تغییر این پسوند این ایراد را پوشش داده و آن را دور می‌زند.

راهکار

جهت رفع تشخیص اشتباه، می‌توانید در تنظیمات آنتی‌ویروس کسپراسکی پسوند CryptoBackup را استثنا نمایید:

1. به تنظیمات ماژول AntiCryptor مراجعه کنید.
2. بخش Exclusion List را باز نمایید.
3. پسوند *.CryptoBackup را وارد نمایید.
4. تمام پنجره‌ها را با OK ببندید.

لینک راهنمای تنظیمات در سایت کسپراسکی: https://support.kaspersky.com/KSWS/11/en-US/193127.htm (پادویش مسئول محتوای لینک‌های بیرونی نمی‌باشد)

توضیحات تکمیلی

لازم به تاکید است که از آنجاییکه نحوه تشخیص کسپراسکی صرفا برحسب نام فایل می‌باشد و این روش مستعد خطای تشخیص بالا و تداخل با نرم‌افزارهای بسیاری است؛ به همین علت کسپراسکی در ماژول AntiCryptor یک لیست پیش‌فرض استثنا تعریف نموده است که شامل موارد زیر است: (منبع https://support.kaspersky.com/KSWS/11/en-US/193127.htm)

• stt – پسوند نرم‌افزار آماری SPSS
• exe – پسوند فایل‌های اجرایی ویندوز
• sig – پسوند مورد استفاده در نرم‌افزارهای ایمیل
• sldprt – پسوند نرم‌افزار Solid Works
• و …

آنچه شما اضافه می‌کنید یک استثنای جدید در لیست بالا می‌باشد.